Hinzufügen der Authentifizierung im ZAP-Tool zum Angriff auf eine URL

Question

Weitergabe von Authentifizierungsdetails an das ZAP-Tool zum Scannen der Website. Bitte helfen Sie mir, das Problem zu lösen.

Answer 1

Ziemlich alte Frage, aber hier geht es.

Der einfachste Weg, dies zu tun, ist die Einstellung Ihres Browsers auf Proxy über ZAP. Bei Firefox können Sie gehen zu:

Optionen -> Erweitert -> Netzwerk -> Einstellungen.

Wählen Sie Manuelle Proxy-Konfiguration und füllen Sie den HTTP-Host mit der Adresse des Computers, auf dem ZAP ausgeführt wird (höchstwahrscheinlich localhost) und dem konfigurierten ZAP-Port.

Extras -> Optionen -> Lokale Proxy: ZAP-Port Öffnen ZAP und den Zugriff auf

Sie können überprüfen und konfigurieren.

Öffnen Sie dann Ihren Webbrowser und melden Sie sich bei Ihrer Anwendung an. Gehen Sie jetzt zu ZAP, im Register Site (linke Seite von ZAP), Ihre Website auswählen, rechts klicken Sie darauf und wählen Sie:

im Kontext einbeziehen -> Standard-Context

nun die HTTP-Sitzungen Registerkarte rechts öffnen Klicken Sie auf die Sitzung und "Als aktiv festlegen". (Registerkarte HTTP-Sitzungen: Ansicht -> Registerkarte anzeigen -> HTTP-Sitzungen)

Jetzt können Sie ZAP Spider, Active Scan und so mit einer angemeldeten Sitzung ausführen. Wenn dies nicht Ihr Szenario ist, geben Sie bitte weitere Informationen darüber an, welche Authentifizierungsmethode von Ihrer Anwendung verwendet wird.

Ich hoffe, es hilft Ihnen oder jemand auf der Suche nach ähnlichen Fragen. Danke,

Answer 2

Alte Frage, alte Antwort, aber hier ist ein gutes Tutorial von einem der Hauptentwickler von OWASP ZAP: https://www.youtube.com/watch?v=cR4gw-cPZOA

Schnell Antwort: Es ist auf der Methode zur Authentifizierung verwendet wird, hängt. Sie können die Optionen in den Sitzungseigenschaften im Menü "Authentifizierung" festlegen und im Menü "Benutzer" können Sie auch verschiedene Benutzer definieren.